OPC UA 用コネクタの OPC UA 証明書インフラストラクチャを構成する

操作エクスペリエンス Web UI を使用して信頼された証明書の一覧を管理するには、次の手順を実行します。

1. OPC UA サーバー アプリケーションのインスタンス証明書をファイルとして取得します。 通常、これらのファイルには .der または .crt 拡張子があります。 このファイルには公開キーのみが含まれています。

   ヒント

   通常、OPC UA サーバーには、アプリケーション インスタンス証明書をエクスポートできるインターフェイスがあります。 このインターフェイスは標準化されていません。 KEPServerEx などのサーバーでは、証明書を管理するための Windows ベースの構成 UI があります。 他のサーバーは、Web インターフェイスがある場合や、オペレーティング システム フォルダーを使用して証明書を格納する場合があります。 アプリケーション インスタンス証明書をエクスポートする方法については、サーバーのユーザー マニュアルを参照してください。 証明書を取得したら、それが DER または PEM でエンコードされていることを確認してください。 これらの証明書は、通常、 .der または .crt 拡張子を持つファイルに格納されます。 証明書がこれらのファイル形式でない場合は、openssl などのツールを使用して、証明書を必要な形式に変換します。

2. 証明書をシークレットとして Azure Key Vault に直接追加してそこからインポートすることも、操作エクスペリエンスを使用して信頼できる証明書の一覧に証明書をアップロードすることもできます。

   注

   OPC UA 用コネクタは、 aio-opc-ua-broker-trust-list という名前の Kubernetes ネイティブ シークレットを使用して、信頼された証明書の一覧を格納します。 このシークレットは、Azure IoT Operations をデプロイするときに作成されます。

3. 操作エクスペリエンス Web UI の [資産エンドポイント] ページに移動します。

4. 信頼できる証明書の一覧を表示するには、[ 証明書とシークレットの管理 ] を選択し、[ 証明書] を選択します。

   

5. ローカル コンピューターから証明書ファイルをアップロードするか、以前にシークレットとして追加した証明書ファイルを Azure Key Vault に追加できます。

   

6. 適用を選択して、変更を保存します。 これで、証明書が信頼された証明書の一覧に追加されます。 証明書をアップロードすると、シークレットとして Azure Key Vault に自動的に追加されます。

OPC UA サーバーが証明機関 (CA) によって発行された証明書を使用している場合は、その公開キー証明書を信頼された証明書の一覧に追加することで、CA を信頼できます。 これで、OPC UA 用コネクタ インスタンスが、その CA によって発行された有効な証明書を使用するすべてのサーバーを自動的に信頼するようになります。 そのため、OPC UA サーバーの証明書を OPC UA 用コネクタの信頼できる証明書の一覧に明示的に追加する必要はありません。 現時点では、操作エクスペリエンスを使用して、信頼された証明書の一覧に証明書失効リストを追加することはできません。

Azure CLI を使用して信頼された証明書の一覧を管理するには、次の手順を実行します。

1. OPC UA サーバー アプリケーションのインスタンス証明書をファイルとして取得します。 通常、これらのファイルには .der または .crt 拡張子があります。 このファイルには公開キーのみが含まれています。

   ヒント

   通常、OPC UA サーバーには、アプリケーション インスタンス証明書をエクスポートできるインターフェイスがあります。 このインターフェイスは標準化されていません。 KEPServerEx などのサーバーでは、証明書を管理するための Windows ベースの構成 UI があります。 他のサーバーは、Web インターフェイスがある場合や、オペレーティング システム フォルダーを使用して証明書を格納する場合があります。 アプリケーション インスタンス証明書をエクスポートする方法については、サーバーのユーザー マニュアルを参照してください。 証明書を取得したら、それが DER または PEM でエンコードされていることを確認してください。 これらの証明書は、通常、 .der または .crt 拡張子を持つファイルに格納されます。 証明書がこれらのファイル形式でない場合は、openssl などのツールを使用して、証明書を必要な形式に変換します。

2. OPC UA サーバーのアプリケーション インスタンス証明書を信頼できる証明書の一覧に追加します。 この一覧は、Azure IoT Operations のデプロイ時に作成される aio-opc-ua-broker-trust-list という名前の Kubernetes ネイティブ シークレットとして実装されます。

   ./my-server.der などのファイルにある DER でエンコードされた証明書の場合は、次のコマンドを実行します。

   # Append my-server.der OPC UA server certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server.der"
   

   ./my-server.crt などのファイルにある PEM でエンコードされた証明書の場合は、次のコマンドを実行します。

   # Append my-server.crt OPC UA server certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server.crt"
   

OPC UA サーバーが証明機関 (CA) によって発行された証明書を使用する場合は、その公開キー証明書を OPC UA 用コネクタの信頼できる証明書リストに追加することで、その CA を信頼できます。 これで、OPC UA 用コネクタ インスタンスが、その CA によって発行された有効な証明書を使用するすべてのサーバーを自動的に信頼するようになります。 そのため、OPC UA サーバーの証明書を OPC UA 用コネクタの信頼できる証明書の一覧に明示的に追加する必要はありません。

CA を信頼するには、次の手順を実行します。

1. CA 証明書の公開キーを DER または PEM 形式でエンコードしたものを取得します。 これらの証明書は、通常、 .der または .crt 拡張子を持つファイルに格納されます。 CA の CRL を取得します。 このリストは、通常 .crl が付いたファイルにあります。 詳細については、OPC UA サーバーのドキュメントを確認してください。

2. CA 証明書と CRL を aio-opc-ua-broker-trust-list Kubernetes ネイティブ シークレットに保存します。

   ./my-server-ca.der などのファイルにある DER でエンコードされた CA 証明書の場合は、次のコマンドを実行します。

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"
   
   # Append the CRL to the trusted certificate list secret as a new entry
   data=$(kubectl create secret generic temp --from-file= my-server-ca.crl=./ my-server-ca.crl --dry-run=client -o jsonpath='{.data}')
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"
   
   # Append the CRL to the trusted certificate list secret as a new entry
   $data = kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}'
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

   ./my-server-ca.crt などのファイルにある PEM でエンコードされた CA 証明書の場合は、次のコマンドを実行します。

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"
   
   # Append the CRL to the trusted certificates list secret as a new entry
   data=$(kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}')
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

   # Append CA certificate to the trusted certificate list secret as a new entry
   az iot ops connector opcua trust add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"
   
   # Append the CRL to the trusted certificate list secret as a new entry
   $data = kubectl create secret generic temp --from-file=my-server-ca.crl=./my-server-ca.crl --dry-run=client -o jsonpath='{.data}'
   kubectl patch secret aio-opc-ua-broker-trust-list -n azure-iot-operations -p "{`"data`": $data}"
   

中間証明書を使用して発行者証明書の一覧を構成する前に、CA 証明書を信頼された証明書の一覧に追加する必要があります。 OPC UA 用コネクタは、CA 証明書を使用して、OPC UA サーバーの証明書の発行者チェーンを検証します。

操作エクスペリエンス Web UI を使用して発行者証明書の一覧を管理するには、次の手順を実行します。

1. サーバー インスタンス証明書にファイルとして署名するために使用された発行者証明書を取得します。 通常、これらのファイルには .der または .crt 拡張子があります。 このファイルには公開キーのみが含まれています。 発行者証明書の .crl ファイル (証明書失効リスト) がある場合もあります。

2. 発行者証明書をシークレットとして Azure Key Vault に直接追加してそこからインポートするか、操作エクスペリエンスを使用して証明書と証明書失効リスト (.crl ファイル) を発行者証明書一覧にアップロードできます。

   注

   OPC UA 用コネクタは、 aio-opc-ua-broker-issuer-list という名前の Kubernetes ネイティブ シークレットを使用して、発行者証明書リストを格納します。 このシークレットは、Azure IoT Operations をデプロイするときに作成されます。

3. 操作エクスペリエンス Web UI の [資産エンドポイント] ページに移動します。

4. 発行者の証明書の一覧を表示するには、[ 証明書とシークレットの管理 ] を選択し、[ 証明書] を選択します。

   

5. ローカル コンピューターから発行者証明書ファイルをアップロードするか、以前にシークレットとして Azure Key Vault に追加した証明書ファイルを追加できます。

   

6. 適用を選択して、変更を保存します。 これで、証明書が発行者の証明書の一覧に追加されます。 証明書をアップロードすると、シークレットとして Azure Key Vault に自動的に追加されます。

操作エクスペリエンスを使用して、信頼された証明書の一覧に証明書失効リスト (.crl ファイル) を追加することもできます。

中間証明書を使用して発行者証明書の一覧を構成する前に、CA 証明書を信頼された証明書の一覧に追加する必要があります。 OPC UA 用コネクタは、CA 証明書を使用して、OPC UA サーバーの証明書の発行者チェーンを検証します。

Azure CLI を使用して発行者証明書の一覧を管理するには、次の手順を実行します。

• CA 証明書と CRL を aio-opc-ua-broker-issuer-list シークレットに保存します。

  # Append CA certificate to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.der"
  
  # Append the CRL to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crl"
  

  ./my-server-ca.crt などのファイルにある PEM でエンコードされた証明書の場合は、次のコマンドを実行します。

  # Append CA certificate to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crt"
  
  # Append the CRL to the issuer list secret as a new entry
  az iot ops connector opcua issuer add --instance <your instance name> --resource-group <your resource group> --certificate-file "./my-server-ca.crl"